Por Pilar Aspillaga y Soledad Alonso*
I. Un cambio de paradigma en la protección de datos personales en Chile
Con la entrada en vigencia de la Ley 21.719, Chile se alinea con el estándar europeo del GDPR y busca el reconocimiento de adecuación de la Unión Europea. El nuevo marco eleva las exigencias para toda organización que trate datos personales —incluyendo los establecimientos educacionales—, y pone en el centro algo que demanda tiempo real: construir el inventario de datos.
El reloj corre. Las organizaciones tienen hasta el 1 de diciembre de 2026 para cumplir. Y la pregunta más frecuente en los colegios es: ¿por dónde empezamos? La respuesta es siempre la misma: por saber qué datos tienen. Esa respuesta, sin embargo, no es gratuita: requiere horas-hombre y horas-mujer (HH-HM) que deben planificarse y presupuestarse.
II. El principio de responsabilidad proactiva (accountability) y sus exigencias
El principio de accountability establece que los responsables de datos no solo deben cumplir la ley, sino también demostrar ese cumplimiento. No basta con decir que se cumple: hay que probarlo con documentación.
Esto implica documentar cómo se recolectan, almacenan, procesan, comparten y eliminan los datos de la comunidad escolar, respetando los principios de licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y transparencia. La ley incentiva además la construcción de Modelos de Prevención de Infracciones (MPI), cuya certificación opera como atenuante ante la Agencia.
III. El Registro de Actividades de Tratamiento (RAT): el documento vertebral del cumplimiento
¿Qué es el RAT?
El Registro de Actividades de Tratamiento (RAT) es el instrumento que permite identificar y documentar todos los tratamientos de datos personales que realiza una organización. Es el entregable que más HH-HM consume en la construcción del MPI —y, al mismo tiempo, el más estratégico.
La Agencia Española de Protección de Datos (AEPD) precisa que cada organización debe llevar un RAT conforme al principio de responsabilidad proactiva, decidiendo el nivel de segregación o agregación de sus registros. En términos concretos: el RAT es el inventario formal de todos los tratamientos que realiza la organización y lo que la Agencia evaluará en una fiscalización. Sin él, no es posible construir una matriz de riesgo creíble.
IV. Los colegios como responsables de una categoría especial: datos de NNA
¿Por qué los datos de estudiantes tienen una categoría especial?
Los establecimientos educacionales tratan datos de niños, niñas y adolescentes (NNA), lo que activa un régimen de protección reforzada bajo el principio del “interés superior del niño”. Este régimen especial eleva la exigencia —y el tiempo invertido en HH-HM— para mapear correctamente cada flujo de datos.
¿Qué datos maneja realmente un colegio?
En el normal desarrollo de la actividad escolar fluyen datos sensibles: identificación personal, calificaciones, conducta, salud, situación familiar, adscripción religiosa, imágenes y necesidades educativas específicas, entre otros. Identificar, clasificar y documentar cada uno de estos flujos es precisamente el trabajo que consume la mayor parte de las HH-HM en el proceso de cumplimiento.
V. El ejercicio de los derechos ARCOP por parte de los padres y apoderados
La Ley 21.719 consagra para los titulares de datos —y en el caso de los menores, para sus padres o representantes legales— un conjunto de derechos que el colegio debe estar en condiciones de tramitar. La sigla ARCOP agrupa los principales:
- Acceso: conocer qué datos personales trata el colegio sobre su hijo/a.
- Rectificación: corregir datos inexactos, desactualizados o incompletos.
- Cancelación/Supresión: solicitar la eliminación de datos cuando ya no sean necesarios o cuando se retire el consentimiento.
- Oposición: oponerse a un tratamiento específico de los datos.
- Portabilidad: obtener una copia de los datos en formato electrónico estructurado y de uso común, y transmitirlos a otro responsable.
A estos se suma el derecho de bloqueo: solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.
Para que el ejercicio de estos derechos sea operativo, el colegio debe contar con un procedimiento claro: un canal de recepción de solicitudes, plazos de respuesta definidos, un responsable designado – Delegado de Protección de Datos o DPO por sus siglas en inglés – y un registro de las solicitudes recibidas y resueltas.
VI. El Modelo de Prevención de Infracciones (MPI) y el peso del inventario
La Ley 21.719 contempla un Modelo de Prevención de Infracciones (MPI) con contenidos mínimos: gobernanza y roles, designación del DPO, inventario de tratamientos y mapeo de flujos de datos, matriz de riesgos y plan de mitigación, políticas y gestión de terceros. De todos esos componentes, el inventario y el RAT son los que concentran entre el 50% y el 70% de las HH-HM totales del proyecto de cumplimiento. No es una exageración: es la experiencia consistente de consultoría. La certificación del MPI ante la Agencia atenúa responsabilidades y reduce sanciones.
En la práctica de consultoría, construir el inventario de datos de un colegio de tamaño mediano requiere muchas HH-HM: entrevistas con áreas, revisión de contratos con proveedores, mapeo de plataformas digitales y validación con dirección. Es el entregable que más tiempo demanda del MPI —y el más valioso. No existe documento de cumplimiento que pueda construirse sin él.
VII. Conclusión: el inventario no es burocracia ni gasto—es gobernanza y una inversión a largo plazo
El camino hacia el cumplimiento de la Ley 21.719 no comienza con una política de privacidad ni con un aviso legal en el sitio web. Comienza con una pregunta honesta: ¿sabemos exactamente qué datos de nuestros estudiantes tenemos, para qué los usamos, dónde están y quién tiene acceso a ellos?
El inventario de datos —base del RAT y pilar del MPI— es un ejercicio de gobernanza que exige mirar hacia adentro, mapear los flujos de información y tomar decisiones conscientes sobre los datos de los niños confiados al colegio. Eso requiere HH-HM reales: de equipos directivos, de profesionales de cumplimiento, de quienes conocen los sistemas.
Quienes gestionan establecimientos educacionales suelen percibir este proceso como un costo: HH-HM de equipos internos, honorarios de consultoría, tiempo directivo que se desvía de la pedagogía. Esa percepción es comprensible pero equivocada. Las HH-HM invertidas en el inventario se amortizan: reducen la exposición a sanciones bajo la Ley 21.719 —que pueden ser significativas— y generan certeza institucional. Un colegio que sabe qué datos tiene, por qué los tiene y cómo los protege, actúa con protocolo ante cualquier solicitud o incidente. No improvisa.
En un ecosistema donde los datos de NNA son la materia prima más sensible, construir ese inventario con rigor no es solo una obligación legal. Es una declaración de valores.
*M. Soledad Alonso Baeza y Pilar Aspillaga Vergara.
Abogadas con más de 10 años de experiencia en compliance corporativo.
Socias de Av Global Compliance SpA consultora de cumplimiento.
